【网络安全】IDOR导致信息泄露
未经许可,不得转载。
文章目录
- 正文
正文
某提交系统,可以选择打印或下载护照。
点击Documents > Download后,应用程序将执行 HTTP GET 请求:
/production/api/v1/attachment?id=4550381&enamemId=123888
id为文件id,enameID为用户身份id。
更改id为4550380,发现能够未授权下载他人护照,因此,遍历即可访问500,000本美国护照。
原文出处:
https://offsec01.medium.com/how-i-prevented-a-data-breach-by-reporting-an-idor-in-a-system-exposing-over-500-000-us-passports-bc6bec99aa3d